Реклама

RawLaunch

Платформа для быстрого запуска MVP и пет-проектов.

Reynolds - шифровальщик, встраивающий уязвимый драйвер прямо в свой код

Владимир ИТ

10.02.2026

128 1 мин
#vulnerability #ransomware

Киберисследователи обнаружили новую разновидность ransоmwаrе-вредоносного ПО под названием Reynolds, которая встроила внутри себя механизм обхода защиты через так называемый BYOVD-драйвер (Bring Your Own Vulnerable Driver). Впервые эта хитрая техника реализована не как отдельный модуль, а прямо в самом теле шифровальщика.

Что такое BYOVD и зачем он нужен

Техника BYOVD подразумевает использование легитимного, но уязвимого драйвера Windows для получения привилегий ядра и выключения защитных сервисов. Такие драйверы подписаны цифровой подписью, но содержат дыры, которые позволяют злоумышленникам выполнять опасные действия, например завершать процессы защитного ПО.

Раньше в атаках BYOVD-компонент запускался отдельно перед основным шифровальщиком. В случае с Reynolds этот компонент идёт внутри одного файла с вредоносом что делает атаку тише и сложнее обнаруживаемой.

Как именно работает атака Reynolds

В атаке Reynolds обнаружен внедрённый драйвер NsecSoft NSecKrnl, который содержит известную уязвимость CVE-2025-68947 (оценка опасности 5,7 по CVSS). Этот драйвер используется, чтобы:

  • эскалировать привилегии до уровня ядра;

  • завершать процессы программ защиты;

  • отключать Endpoint Detection and Response (EDR) решения.

Среди программ, которые целит Reynolds, упоминаются продукты от Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos и Symantec Endpoint Protection.

Особо примечательно, что этот уязвимый драйвер уже использовался в прошлых атаках группой Silver Fox для выключения защитных решений перед запуском другого зловреда (ValleyRAT).

Почему это может быть опасно

  • Интеграция BYOVD прямо в ransomware снижает количество шумных действий.

  • Нет отдельного этапа, когда защитное ПО может заметить и остановить драйвер до запуска шифровальщика.

  • Техника позволяет злоумышленникам работать с высокой степенью приватности и избегать традиционных механизмов обнаружения.

По словам аналитиков, объединение обхода защиты и самого шифровальщика может облегчить работу злоумышленникам и сделать такие атаки более привлекательными для групп-разработчиков ransomware.

Рекомендации по защите

Cпециалисты по безопасности советуют:

  • следить за обновлениями драйверов и операционной системы;

  • внедрять механизмы блокировки подозрительных драйверов;

  • применять защитные слои, которые могут обнаружить попытки загрузить или использовать уязвимые компоненты;

  • использовать поведенческий анализ, а не только сигнатурные методы обнаружения.

Источник: HN

0

Комментарии (0)

Войдите, чтобы оставить комментарий

Похожие статьи

Кибербезопасность 3 месяца назад

Microsoft: инфостилеры на базе Python переходят с Windows на macOS

Microsoft предупреждает о новой волне инфостилеров на базе Python, которые атакуют macOS и Windows через поддельные рекламные объявления и фальшивые установщики. В статье разобраны методы распространения, типы похищаемых данных и рекомендации по защите.

Владимир ИТ
177 0 1 мин
#malware
Кибербезопасность 1 месяц назад

Claude Mythos находит тысячи zero-day уязвимостей

Claude Mythos - новая модель Anthropic, способная находить тысячи zero-day уязвимостей. Она используется в проекте Glasswing для усиления кибербезопасности, но доступ к ней строго ограничен из-за потенциальных рисков.

Владимир ИТ
92 0 1 мин
#AI #claude
Кибербезопасность 3 месяца назад

Microsoft создала сканер для поиска бэкдоров в открытых языковых моделях

Microsoft представила инструмент для обнаружения скрытых закладок в открытых языковых моделях. Сканер позволяет выявлять вредоносные триггеры и признаки отравления моделей без их дообучения и знания конкретных атак.

Владимир ИТ
172 0 1 мин
#microsoft #backdoor #llm